Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Virus überschreibt MBR immer neu.. (evt Bootkit?)

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 20.09.2010, 15:25   #1
skanderbeg
 
Virus überschreibt MBR immer neu.. (evt Bootkit?) - Standard

Virus überschreibt MBR immer neu.. (evt Bootkit?)



Hi

(voerst will ich sagen das ich von einem anderen Forum hergeschickt worden bin, damit ich mein MBR schreiben kann (mit eurer hilfe plz :S) deswegen sorry für das crossposting)

Auf dem anderen Forum haben wir herausgefunden das ich einen Bootkit - "virus" auf meinem PC habe, der mein MBR immer ersetzt?! und dadurch komm ich garnicht in mein System rein. Der virus verhindert sogar das meine Win7 cd gebootet wird und somit komm ich nicht zum reparatur-programm.

Ich habs 3 - 4 mal geschafft die win7 cd irgendwie (nach sehr sehr viel arbeit) zu booten. Dadurch bin ich ins reparatur-programm gekommen und hab dann das mit: "bootrec.exe/fixmbr" durchgeführt. Dann neugestartet und bin wieder im system gewesen.

Dann habe ich alle möglichen sicherheitsprogramme durchlaufen lassen, trotzdem nix gefunden.. hab sogar MBAM durchlaufen lassen. Und jedes mal wo ich im System war, hab ich nach dem ganzen herumsuchen und nichtsfinden, den PC ausgeschaltet, und wo ich dann am nächsten morgen den PC wieder eingeschaltet habe fuhr er ganz normal hoch, doch nach 2 min hängte er ab, und beim nächsten restart war der virus wieder da :S:S

Ich hoffe ihr könnt mir helfen plz, bin am verzweifeln die im anderen Forum haben halt gesagt das ist ein Bootkit virus und ich soll herkommen damit mir geholfen wird, die MBR selbst zu schreiben.

schönen Gruss an alle

skanderbeg

Alt 21.09.2010, 11:54   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Virus überschreibt MBR immer neu.. (evt Bootkit?) - Standard

Virus überschreibt MBR immer neu.. (evt Bootkit?)



Zitat:
"bootrec.exe/fixmbr" durchgeführt. Dann neugestartet und bin wieder im system gewesen.
Mach das bitte nochmal und zusätzlich in der Konsole diesen Befehl: "bootrec.exe /fixboot" - also zwei Befehle dort ausführen.
Achte jew. auf das Leerezichen zwischen bootrec.exe und dem /fix... !! Der fixboot schreibt neue Bootdateien.

Mach danach einen MBRCheck im normalen Windows:

Downloade Dir bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.
  • Doppelklick auf die MBRCheck.exe.
    Vista und Win7 User mit Rechtsklick "als Administrator starten"
  • Das Tool braucht nur eine Sekunde.
  • Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.
Poste mir bitte den Inhalt des .txt Dokumentes
__________________

__________________

Alt 28.09.2010, 15:16   #3
skanderbeg
 
Virus überschreibt MBR immer neu.. (evt Bootkit?) - Standard

Virus überschreibt MBR immer neu.. (evt Bootkit?)



Zitat:
Zitat von cosinus Beitrag anzeigen
Mach das bitte nochmal und zusätzlich in der Konsole diesen Befehl: "bootrec.exe /fixboot" - also zwei Befehle dort ausführen.
Achte jew. auf das Leerezichen zwischen bootrec.exe und dem /fix... !! Der fixboot schreibt neue Bootdateien.

Mach danach einen MBRCheck im normalen Windows:

Downloade Dir bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.
  • Doppelklick auf die MBRCheck.exe.
    Vista und Win7 User mit Rechtsklick "als Administrator starten"
  • Das Tool braucht nur eine Sekunde.
  • Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.
Poste mir bitte den Inhalt des .txt Dokumentes
Hi

Ich hab das jetzt erledigt, aber es ging nur im abgesicherten Modus. Im normalen Modus, hängte das programm immer mittendrin auf (ich hab immer mit ADMIN ausgeführt)?! Auf jedenfall hier die Kopie:

Zitat:
MBRCheck, version 1.2.3
(c) 2010, AD

Command-line:
Windows Version: Windows 7 Ultimate Edition
Windows Information: (build 7600), 32-bit
Base Board Manufacturer: FUJITSU SIEMENS
BIOS Manufacturer: American Megatrends Inc.
System Manufacturer: FUJITSU SIEMENS
System Product Name: Amilo Desktop Pi3645A
Logical Drives Mask: 0x000007dc

Kernel Drivers (total 132):
0x81A0A000 \SystemRoot\system32\ntkrnlpa.exe
0x81E1A000 \SystemRoot\system32\halmacpi.dll
0x818F1000 \SystemRoot\system32\kdcom.dll
0x8AE05000 \SystemRoot\system32\mcupdate_GenuineIntel.dll
0x8AE7D000 \SystemRoot\system32\PSHED.dll
0x8AE8E000 \SystemRoot\system32\BOOTVID.dll
0x8AE96000 \SystemRoot\system32\CLFS.SYS
0x8AED8000 \SystemRoot\system32\CI.dll
0x8AF83000 \SystemRoot\system32\drivers\Wdf01000.sys
0x8B007000 \SystemRoot\system32\drivers\WDFLDR.SYS
0x8B10E000 \SystemRoot\System32\Drivers\WMILIB.SYS
0x8B117000 \SystemRoot\System32\Drivers\SCSIPORT.SYS
0x8B13D000 \SystemRoot\system32\DRIVERS\ACPI.sys
0x8B185000 \SystemRoot\system32\DRIVERS\msisadrv.sys
0x8B18D000 \SystemRoot\system32\DRIVERS\vdrvroot.sys
0x8B198000 \SystemRoot\system32\DRIVERS\pci.sys
0x8B1C2000 \SystemRoot\System32\drivers\partmgr.sys
0x8B1D3000 \SystemRoot\system32\DRIVERS\volmgr.sys
0x8B237000 \SystemRoot\System32\drivers\volmgrx.sys
0x8B282000 \SystemRoot\system32\DRIVERS\pciide.sys
0x8B289000 \SystemRoot\system32\DRIVERS\PCIIDEX.SYS
0x8B297000 \SystemRoot\System32\drivers\mountmgr.sys
0x8B2AD000 \SystemRoot\system32\DRIVERS\atapi.sys
0x8B2B6000 \SystemRoot\system32\DRIVERS\ataport.SYS
0x8B2D9000 \SystemRoot\system32\DRIVERS\amdxata.sys
0x8B2E2000 \SystemRoot\system32\drivers\fltmgr.sys
0x8B316000 \SystemRoot\system32\drivers\fileinfo.sys
0x8B40A000 \SystemRoot\System32\Drivers\Ntfs.sys
0x8B539000 \SystemRoot\System32\Drivers\msrpc.sys
0x8B564000 \SystemRoot\System32\Drivers\ksecdd.sys
0x8B577000 \SystemRoot\System32\Drivers\cng.sys
0x8B5D4000 \SystemRoot\System32\drivers\pcw.sys
0x8B5E2000 \SystemRoot\System32\Drivers\Fs_Rec.sys
0x8B327000 \SystemRoot\system32\drivers\ndis.sys
0x8B63E000 \SystemRoot\system32\drivers\NETIO.SYS
0x8B67C000 \SystemRoot\System32\Drivers\ksecpkg.sys
0x8B6A1000 \SystemRoot\System32\drivers\tcpip.sys
0x8B600000 \SystemRoot\System32\drivers\fwpkclnt.sys
0x8B631000 \SystemRoot\system32\DRIVERS\vmstorfl.sys
0x8B80F000 \SystemRoot\system32\DRIVERS\volsnap.sys
0x8B856000 \SystemRoot\System32\drivers\rdyboost.sys
0x8B883000 \SystemRoot\System32\Drivers\mup.sys
0x8BA3B000 \SystemRoot\system32\DRIVERS\kl1.sys
0x8BF5D000 \SystemRoot\System32\drivers\hwpolicy.sys
0x8BF65000 \SystemRoot\System32\DRIVERS\fvevol.sys
0x8BF97000 \SystemRoot\system32\DRIVERS\disk.sys
0x8BFA8000 \SystemRoot\system32\DRIVERS\CLASSPNP.SYS
0x8BA00000 \SystemRoot\System32\Drivers\Null.SYS
0x8BA07000 \SystemRoot\System32\Drivers\Beep.SYS
0x8BA0E000 \SystemRoot\System32\drivers\vga.sys
0x8BA1A000 \SystemRoot\System32\drivers\VIDEOPRT.SYS
0x8B893000 \SystemRoot\System32\drivers\watchdog.sys
0x8B8A0000 \SystemRoot\System32\Drivers\Msfs.SYS
0x8B8AB000 \SystemRoot\System32\Drivers\Npfs.SYS
0x8B8B9000 \SystemRoot\system32\DRIVERS\usbohci.sys
0x8B8C3000 \SystemRoot\system32\DRIVERS\USBPORT.SYS
0x8B90E000 \SystemRoot\system32\DRIVERS\usbehci.sys
0x8B91D000 \SystemRoot\system32\DRIVERS\HDAudBus.sys
0x8B93C000 \SystemRoot\system32\DRIVERS\1394ohci.sys
0x8B968000 \SystemRoot\system32\DRIVERS\cdrom.sys
0x8B987000 \SystemRoot\system32\DRIVERS\GEARAspiWDM.sys
0x8B98D000 \SystemRoot\system32\DRIVERS\wmiacpi.sys
0x8B996000 \SystemRoot\system32\DRIVERS\blbdrive.sys
0x8B9A4000 \SystemRoot\system32\DRIVERS\CompositeBus.sys
0x8B9B1000 \SystemRoot\system32\DRIVERS\mssmbios.sys
0x8B9BB000 \SystemRoot\system32\DRIVERS\rdpbus.sys
0x8B9C5000 \SystemRoot\system32\DRIVERS\termdd.sys
0x8B9D5000 \SystemRoot\system32\DRIVERS\kbdclass.sys
0x8B9E2000 \SystemRoot\system32\DRIVERS\mouclass.sys
0x8B9EF000 \SystemRoot\system32\DRIVERS\swenum.sys
0x8B200000 \SystemRoot\system32\DRIVERS\ks.sys
0x8B9F1000 \SystemRoot\system32\DRIVERS\umbus.sys
0x8B015000 \SystemRoot\system32\DRIVERS\usbhub.sys
0x8BFCD000 \SystemRoot\System32\Drivers\crashdmp.sys
0x8BFDA000 \SystemRoot\System32\Drivers\dump_dumpata.sys
0x8BFE5000 \SystemRoot\System32\Drivers\dump_atapi.sys
0x8BFEE000 \SystemRoot\System32\Drivers\dump_dumpfve.sys
0x8B800000 \SystemRoot\system32\DRIVERS\hidusb.sys
0x8B7EA000 \SystemRoot\system32\DRIVERS\HIDCLASS.SYS
0x8B84E000 \SystemRoot\system32\DRIVERS\HIDPARSE.SYS
0x8B80B000 \SystemRoot\system32\DRIVERS\USBD.SYS
0x8B5EB000 \SystemRoot\system32\DRIVERS\mouhid.sys
0x8B3DE000 \SystemRoot\system32\DRIVERS\usbccgp.sys
0x8B059000 \SystemRoot\system32\DRIVERS\kbdhid.sys
0x8B065000 \SystemRoot\system32\DRIVERS\USBSTOR.SYS
0x91B10000 \SystemRoot\System32\win32k.sys
0x8B400000 \SystemRoot\System32\drivers\Dxapi.sys
0x91D60000 \SystemRoot\System32\drivers\dxg.sys
0x91D90000 \SystemRoot\System32\TSDDD.dll
0x91A10000 \SystemRoot\System32\framebuf.dll
0x91A20000 \SystemRoot\System32\ATMFD.DLL
0x8B07C000 \SystemRoot\system32\drivers\WudfPf.sys
0x8B096000 \SystemRoot\System32\Drivers\fastfat.SYS
0x77130000 \Windows\System32\ntdll.dll
0x47FF0000 \Windows\System32\smss.exe
0x77370000 \Windows\System32\apisetschema.dll
0x00FA0000 \Windows\System32\autochk.exe
0x77340000 \Windows\System32\imm32.dll
0x772A0000 \Windows\System32\advapi32.dll
0x77290000 \Windows\System32\nsi.dll
0x764E0000 \Windows\System32\shell32.dll
0x77280000 \Windows\System32\psapi.dll
0x77270000 \Windows\System32\normaliz.dll
0x76480000 \Windows\System32\difxapi.dll
0x76430000 \Windows\System32\Wldap32.dll
0x763F0000 \Windows\System32\ws2_32.dll
0x761F0000 \Windows\System32\iertutil.dll
0x76150000 \Windows\System32\usp10.dll
0x76100000 \Windows\System32\gdi32.dll
0x760F0000 \Windows\System32\lpk.dll
0x76010000 \Windows\System32\kernel32.dll
0x75F60000 \Windows\System32\msvcrt.dll
0x75DC0000 \Windows\System32\setupapi.dll
0x75D10000 \Windows\System32\rpcrt4.dll
0x75C40000 \Windows\System32\user32.dll
0x75C10000 \Windows\System32\imagehlp.dll
0x75B80000 \Windows\System32\clbcatq.dll
0x75B60000 \Windows\System32\sechost.dll
0x75A00000 \Windows\System32\ole32.dll
0x759A0000 \Windows\System32\shlwapi.dll
0x75920000 \Windows\System32\comdlg32.dll
0x75850000 \Windows\System32\msctf.dll
0x75750000 \Windows\System32\wininet.dll
0x756C0000 \Windows\System32\oleaut32.dll
0x75580000 \Windows\System32\urlmon.dll
0x75550000 \Windows\System32\cfgmgr32.dll
0x754C0000 \Windows\System32\comctl32.dll
0x75470000 \Windows\System32\KernelBase.dll
0x75440000 \Windows\System32\wintrust.dll
0x75420000 \Windows\System32\devobj.dll
0x75300000 \Windows\System32\crypt32.dll
0x752F0000 \Windows\System32\msasn1.dll

Processes (total 21):
0 System Idle Process
4 System
236 C:\Windows\System32\smss.exe
316 csrss.exe
352 csrss.exe
360 C:\Windows\System32\wininit.exe
400 C:\Windows\System32\winlogon.exe
448 C:\Windows\System32\services.exe
456 C:\Windows\System32\lsass.exe
468 C:\Windows\System32\lsm.exe
556 C:\Windows\System32\svchost.exe
628 C:\Windows\System32\svchost.exe
736 C:\Windows\System32\svchost.exe
776 C:\Windows\System32\svchost.exe
824 C:\Windows\System32\svchost.exe
868 C:\Windows\System32\svchost.exe
1104 C:\Windows\explorer.exe
1148 C:\Windows\System32\ctfmon.exe
1424 C:\Users\***\Desktop\MBRCheck.exe
1432 C:\Windows\System32\conhost.exe
1448 C:\Windows\System32\dllhost.exe

\\.\C: --> \\.\PhysicalDrive0 at offset 0x00000002`32900000 (NTFS)
\\.\D: --> \\.\PhysicalDrive0 at offset 0x0000001a`a1b00000 (NTFS)

PhysicalDrive0 Model Number: ST31000333AS, Rev: SD25

Size Device Name MBR Status
--------------------------------------------
931 GB \\.\PhysicalDrive0 Windows 7 MBR code detected
SHA1: 4379A3D43019B46FA357F7DD6A53B45A3CA8FB79


Done!

Hab mein MBAM auch grad aktualisiert und durchlaufen lassen. Hat 2 sachen gefunden aber weiss nicht ob das mit dem obrigen zu tun hat, auf jeden fall hab ich die noch nicht gelöscht. Hier der Log:

Zitat:
Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4711

Windows 6.1.7600
Internet Explorer 8.0.7600.16385

28.09.2010 16:40:15
mbam-log-2010-09-28 (16-40-15).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 151550
Laufzeit: 4 Minute(n), 45 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_RKHIT (Rogue.BestSpywareScanner) ->

No action taken.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Users\***\AppData\Roaming\chrtmp (Malware.Trace) -> No action taken.
__________________

Geändert von skanderbeg (28.09.2010 um 15:46 Uhr)

Alt 28.09.2010, 17:46   #4
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Virus überschreibt MBR immer neu.. (evt Bootkit?) - Standard

Virus überschreibt MBR immer neu.. (evt Bootkit?)



Zitat:
Art des Suchlaufs: Quick-Scan
Bitte routinemäßig einen Vollscan mit Malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 28.09.2010, 18:18   #5
skanderbeg
 
Virus überschreibt MBR immer neu.. (evt Bootkit?) - Standard

Virus überschreibt MBR immer neu.. (evt Bootkit?)



Zitat:
Zitat von cosinus Beitrag anzeigen
Bitte routinemäßig einen Vollscan mit Malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Hab ich gleich anschliessend gemacht, aber davon is nix bösartig:

Zitat:
Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4711

Windows 6.1.7600
Internet Explorer 8.0.7600.16385

28.09.2010 18:32:14
mbam-log-2010-09-28 (18-32-14).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|G:\|)
Durchsuchte Objekte: 354945
Laufzeit: 1 Stunde(n), 20 Minute(n), 6 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 11

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Users\***\AppData\Roaming\Desktopicon\eBayShortcuts.exe (Adware.ADON) -> No action taken.

C:\Program Files\Ubisoft\Ubisoft Game Launcher\ubiorbitapi_r2.dll (Trojan.Agent.CK) -> No action taken.

C:\Program Files\Electronic Arts\Command & Conquer 4 Tiberian Twilight\CNC4.exe (Hacktool.Gen) -> No action taken.

D:\Program Files\Ubisoft\Assassin's Creed II\ubiorbitapi_r2.dll (Trojan.Agent.CK) -> No action taken.

D:\USB ALL\l*** usb\Startup_Faster__3.0.9.FreeSoftZone\Startup Faster! 3.0.9\Key gen\Keygen.exe (Trojan.Dropper.PGen) -> No action taken.

D:\USB ALL\l*** usb\ZU-ULTRAISO PREMIUM V9.0.0.2336 RETAIL\ZU-KEYGEN\keygen.exe (Trojan.Agent.CK) -> No action taken.

D:\USB ALL\*** usb\ZU-ULTRAISO PREMIUM V9.0.0.2336 RETAIL\ZU-KEYGEN\keygen2.exe (Trojan.Agent.CK) -> No action taken.

D:\IDM DOWNLOADS\Assassins.Creed.II-SKIDROW\crack\ubiorbitapi_r2.dll (Trojan.Agent.CK) -> No action taken.

D:\DeskTop\Setups\Startup_Faster__3.0.9.FreeSoftZone\Startup Faster! 3.0.9\Key gen\Keygen.exe (Trojan.Dropper.PGen) -> No action taken.

D:\DeskTop\Setups\ZU-ULTRAISO PREMIUM V9.0.0.2336 RETAIL\ZU-KEYGEN\keygen.exe (Trojan.Agent.CK) -> No action taken.

D:\DeskTop\Setups\ZU-ULTRAISO PREMIUM V9.0.0.2336 RETAIL\ZU-KEYGEN\keygen2.exe (Trojan.Agent.CK) -> No action taken.


Alt 28.09.2010, 18:32   #6
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Virus überschreibt MBR immer neu.. (evt Bootkit?) - Daumen runter

Virus überschreibt MBR immer neu.. (evt Bootkit?)



Zitat:
D:\USB ALL\l*** usb\Startup_Faster__3.0.9.FreeSoftZone\Startup Faster! 3.0.9\Key gen\Keygen.exe (Trojan.Dropper.PGen) -> No action taken.
D:\USB ALL\l*** usb\ZU-ULTRAISO PREMIUM V9.0.0.2336 RETAIL\ZU-KEYGEN\keygen.exe (Trojan.Agent.CK) -> No action taken.
D:\USB ALL\*** usb\ZU-ULTRAISO PREMIUM V9.0.0.2336 RETAIL\ZU-KEYGEN\keygen2.exe (Trojan.Agent.CK) -> No action taken.
D:\IDM DOWNLOADS\Assassins.Creed.II-SKIDROW\crack\ubiorbitapi_r2.dll (Trojan.Agent.CK) -> No action taken.
D:\DeskTop\Setups\Startup_Faster__3.0.9.FreeSoftZone\Startup Faster! 3.0.9\Key gen\Keygen.exe (Trojan.Dropper.PGen) -> No action taken.
D:\DeskTop\Setups\ZU-ULTRAISO PREMIUM V9.0.0.2336 RETAIL\ZU-KEYGEN\keygen.exe (Trojan.Agent.CK) -> No action taken.
D:\DeskTop\Setups\ZU-ULTRAISO PREMIUM V9.0.0.2336 RETAIL\ZU-KEYGEN\keygen2.exe (Trojan.Agent.CK) -> No action taken.
Die (Be)nutzung von Cracks, Serials und Keygens ist illegal, somit gibt es im Trojaner-Board keinen weiteren Support mehr.

Für Dich geht es hier weiter => Neuaufsetzen des Systems
Bitte auch alle Passwörter abändern (für E-Mail-Konten, StudiVZ, Ebay...einfach alles!) da nicht selten in dieser dubiosen Software auch Keylogger und Backdoorfunktionen stecken.

Danach nie wieder sowas anrühren!
__________________
--> Virus überschreibt MBR immer neu.. (evt Bootkit?)

Alt 18.10.2010, 14:55   #7
skanderbeg
 
Virus überschreibt MBR immer neu.. (evt Bootkit?) - Standard

Virus überschreibt MBR immer neu.. (evt Bootkit?)



Hi

zu aller erst will ich sagen das es naiv ist zu glauben das nicht min 90% der user hier schon mal ein crack oder was weiss ich was benutzt haben, somit bestrafst du mich für meine ehrlichkeit! Du kannst mir nicht erzählen das du nicht schon selbst mal einen benutzt hast!

dann wollte ich noch was zum virus sagen:

der virus geht egal was ich mache,nicht weg! ich habe sogar mit dariks boot and nuke meine ganze festplatte sozusagen absolut formatiert! kurz vorm starten hab ich meine windows dvd reingemacht, nochmal mbrfix und fixboot gemacht, dann gleich darauf neu installiert. Dann war der virus wieder da?!?! Wo kann sich denn der virus noch verstecken?? im wlan router?? kabellosen usb maus/tastatur? Ich hab sogar mal LINUX drauf gemacht loool und der is da trotzdem hängen geblieben XD das konnte ich nicht glauben....

ich hab einen fujitsu siemens pc, kann es sein das mich der stuxnet virus befallen hat??? ich dachte die greifen keine privat pc`s an?!?!

Bitte hilf mir, denn ich bin seit fast 2 monaten ohne pc und ich hab keinen einzigen plan mehr was ich machen könnte....

Alt 18.10.2010, 15:40   #8
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Virus überschreibt MBR immer neu.. (evt Bootkit?) - Standard

Virus überschreibt MBR immer neu.. (evt Bootkit?)



Zitat:
du kannst mir nicht erzählen das du nicht schon selbst mal einen benutzt hast!
Nein. Cracks/keygens verwende ich nicht, da diese in 99% aller Fälle verseucht sind. Außerdem sind sie illegal.

Zitat:
dann gleich darauf neu installiert. Dann war der virus wieder da?!?!
Einfach so wieder geht nicht.
- was hast Du für ne Windows-CD? Original oder gebrannt?
- warst Du im Internet?
- hast Du Datenträger wie ext. Platte oder USB-Stick angesteckt?

Nach Komplettlöschung mit DBAN bliebt kein Schädling über. Du musst Dir den nachträglich wieder installiert haben.
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 18.10.2010, 15:46   #9
skanderbeg
 
Virus überschreibt MBR immer neu.. (evt Bootkit?) - Standard

Virus überschreibt MBR immer neu.. (evt Bootkit?)



ja meine dvd is gebrannt, eben nur trial...
nach dban habe ich tatsächlich meinen usb stick angesteckt,aber erst nach dem ich kaspersky trial version vollkommen ubgedatet habe.. dann habe ich alles wieder neu installiert und das letzte mal wo ich das gemacht hab, habe ich nix mehr angesteckt ausser meine tastatur/maus beide in einem usb kabel und mein internet, auch per usb - kabellos (also usb empfämger) mit wlan router verbunden, und der wlan router ist wiederum mit dem anderen pc verbunden.

der unterschied: wenn ich mein usb stick im anderen pc reinstecke kommt der virus nicht?! darum dachte ich, das es daran liegt das mein pc siemens ist und ich den stuxnet virus drauf habe...

Geändert von skanderbeg (18.10.2010 um 15:52 Uhr)

Alt 18.10.2010, 18:11   #10
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Virus überschreibt MBR immer neu.. (evt Bootkit?) - Standard

Virus überschreibt MBR immer neu.. (evt Bootkit?)



So genau kenn ich den Stuxnet nicht, aber prinzipiell sollte er sich auch dann verbreiten, wenn es ein nicht-Siemens-PC ist, aber Windows drauf läuft und die Infektion über einen USB-Stick geschieht.

Ich bin der Meinung, man sollte grundsätzlich die automatische Wiedergabe von CDs und anderen Wechselmedien, die Karten, USB-Sticks oder externen Platten grundsätzlich abschalten. Falls ein infizierter Datenträger angesteckt wird, kann es einfach nicht angehen, dass da automatisch was ausgeführt wird.

Behandel diesen USB-Stick mal mit dem FlashDisinfector.
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 19.10.2010, 16:58   #11
skanderbeg
 
Virus überschreibt MBR immer neu.. (evt Bootkit?) - Standard

Virus überschreibt MBR immer neu.. (evt Bootkit?)



Also ich hab jetzt nochmal fixmbr und fixboot gemacht und gleich direkt neu installiert. zuerst ist alles glatt gelaufen und wo ich dann mein kabellosen USB-empfänger eingesteckt habe hing der computer nach 4-5 min wieder. das einzige was ich installiert habe war kaspersky internet security trial version. und ich hab wirklich nix angesteckt ausser bildschirm, usb tastatur/maus und eben internet/usb.
Der flashdisinfector funktioniert nicht?! ich hab ihn an 3 verschiedenen stellen heruntergeladen, keine ahnung was da los ist.

und das mit stuxnet ich weiss nicht,es könnte doch sein das der nur für siemensanlagen konzipiert ist? aber ich hab wirklich keine ahnung, ich wollte das nur als eventuelle möglichkeit einbringen.

Ich wollte noch fragen wo ich diese automatische wiedergabe abstellen kann?

Alt 19.10.2010, 18:02   #12
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Virus überschreibt MBR immer neu.. (evt Bootkit?) - Standard

Virus überschreibt MBR immer neu.. (evt Bootkit?)



Was genau funktioniert am Flashdisinfector nicht? Das Runterladen oder ausführen? Hast Du ihn per Rechtsklick als Administrator ausgeführt?

Zitat:
Ich wollte noch fragen wo ich diese automatische wiedergabe abstellen kann?
Sowas kann man auch leicht selbst rausfinden über Google:

In der Systemsteuerung => Alle Systemsteuerungselemente anzeigen => Automatische Wiedergabe
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 19.10.2010, 18:15   #13
skanderbeg
 
Virus überschreibt MBR immer neu.. (evt Bootkit?) - Standard

Virus überschreibt MBR immer neu.. (evt Bootkit?)



Ja ich habs als admin ausgeführt aber es kommt kurz das ladezeichen bei der maus aber das programm startet nicht. also das ausführen.

Alt 19.10.2010, 19:33   #14
skanderbeg
 
Virus überschreibt MBR immer neu.. (evt Bootkit?) - Standard

Virus überschreibt MBR immer neu.. (evt Bootkit?)





so sieht der virus aus. und überall blinken zeichen... und das kommt sofort beim start, also vor dem windows ladebalken beim booten, im mbr sozusagen sofort wenn der computer auf die festplatte zugreift.

Alt 19.10.2010, 20:24   #15
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Virus überschreibt MBR immer neu.. (evt Bootkit?) - Standard

Virus überschreibt MBR immer neu.. (evt Bootkit?)



Netter Pixelsalat

Passiert das nur, wenn Du von dieser Festplatte bootest oder auch von anderen Medien?
__________________
Logfiles bitte immer in CODE-Tags posten

Antwort

Themen zu Virus überschreibt MBR immer neu.. (evt Bootkit?)
andere, anderen, arbeit, ausgeschaltet, derbe, ersetzt, forum, garnicht, gefunden.., geholfen, hoffe, mbam, min, morgen, mögliche, möglichen, restart, system, verhindert, verzweifel, verzweifeln, virus, win, win7, überschreibt



Ähnliche Themen: Virus überschreibt MBR immer neu.. (evt Bootkit?)


  1. Pc spinnt / Unknown MBR Code... Bootkit?
    Log-Analyse und Auswertung - 27.10.2015 (11)
  2. Nach JAVA-Update Malware auf PC...Überschreibt Browser-Startseite mit http://istart.webssearches.com
    Log-Analyse und Auswertung - 07.09.2014 (3)
  3. Windows XP: PC bootet nicht mehr richtig (Trojaner, Root-, Bootkit?)
    Log-Analyse und Auswertung - 19.03.2014 (19)
  4. Bootkit Remover hat ein Problem erkannt, wie gehts jetzt weiter?
    Log-Analyse und Auswertung - 22.11.2013 (26)
  5. Bundestrojaner überschreibt Windows BootManager
    Plagegeister aller Art und deren Bekämpfung - 20.07.2013 (11)
  6. C:\WINXP\system32\dllcache\explorer.exe (Trojan.Bootkit.Dropper)
    Log-Analyse und Auswertung - 30.08.2012 (13)
  7. Immer wiederkehrender Virus und immer neuer Name auch im Temp Ordner
    Plagegeister aller Art und deren Bekämpfung - 16.07.2012 (5)
  8. Bootkit Mebratix.B ?
    Log-Analyse und Auswertung - 06.04.2012 (10)
  9. Batch Datei überschreibt Datein
    Plagegeister aller Art und deren Bekämpfung - 04.03.2012 (2)
  10. (Unbekanntes) Bootkit
    Plagegeister aller Art und deren Bekämpfung - 12.10.2011 (6)
  11. Virus überschreibt ständig rundll32.exe (system32)
    Plagegeister aller Art und deren Bekämpfung - 10.07.2011 (1)
  12. AVAST findet Bootkit?
    Plagegeister aller Art und deren Bekämpfung - 25.04.2011 (86)
  13. Bootkit Remover findet anscheinend defekten MBR, was nun?
    Plagegeister aller Art und deren Bekämpfung - 10.02.2011 (4)
  14. Bootkit Remover
    Anleitungen, FAQs & Links - 30.05.2010 (1)
  15. Bootkit hebelt Festplattenverschlüsselung aus
    Nachrichten - 30.07.2009 (0)
  16. Nero 6 überschreibt Daten auf CD-R
    Alles rund um Windows - 07.07.2005 (2)
  17. easy-search.biz überschreibt IE Startseite
    Log-Analyse und Auswertung - 25.08.2004 (3)

Zum Thema Virus überschreibt MBR immer neu.. (evt Bootkit?) - Hi (voerst will ich sagen das ich von einem anderen Forum hergeschickt worden bin, damit ich mein MBR schreiben kann (mit eurer hilfe plz :S) deswegen sorry für das crossposting - Virus überschreibt MBR immer neu.. (evt Bootkit?)...
Archiv
Du betrachtest: Virus überschreibt MBR immer neu.. (evt Bootkit?) auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.